Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Ejemplos de políticas de control de servicios para AWS Organizations y AWS RAM
AWS RAM admite políticas de control de servicios (SCPs). SCPs son políticas que se adjuntan a los elementos de una organización para gestionar los permisos dentro de esa organización. Un SCP se aplica a todos los elementos Cuentas de AWS incluidos en el elemento al que se adjunta el SCP. SCPs ofrezca un control central sobre el máximo de permisos disponibles para todas las cuentas de su organización. Pueden ayudarlo a garantizar que se Cuentas de AWS mantenga dentro de las pautas de control de acceso de su organización. Para obtener más información, consulte Políticas de control de servicios en la Guía del usuario de AWS Organizations .
Requisitos previos
Para usarlo SCPs, primero debe hacer lo siguiente:
-
Habilitar todas las características en la organización. Para obtener más información, consulte Habilitar todas las características en la organización en la Guía del usuario de AWS Organizations .
-
Habilite SCPs su uso en su organización. Para obtener más información, consulte Habilitar y deshabilitar tipos de políticas en la Guía del usuario de AWS Organizations .
-
Cree lo SCPs que necesita. Para obtener más información sobre la creación SCPs, consulte Creación y actualización SCPs en la Guía del AWS Organizations usuario.
Ejemplo de políticas de control de servicios
Contenido
Los siguientes ejemplos le muestran cómo puede controlar varios aspectos del uso compartido de recursos en una organización.
Ejemplo 1: Impedir la posibilidad de compartir externamente
La siguiente SCP evita que los usuarios puedan crear recursos compartidos que permitan compartir con entidades principales externas a la organización del usuario que comparte.
AWS RAM autoriza APIs por separado para cada principal y recurso enumerados en la convocatoria.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:UpdateResourceShare"
],
"Resource": "*",
"Condition": {
"Bool": {
"ram:RequestedAllowsExternalPrincipals": "true"
}
}
}
]
}Ejemplo 2: Impedir que los usuarios acepten invitaciones a recursos compartidos desde cuentas externas a la organización
La siguiente SCP impide que cualquier entidad principal de una cuenta afectada acepte una invitación para usar un recurso compartido. Los recursos compartidos que se comparten con otras cuentas de la misma organización que la cuenta que los comparte no generan invitaciones y, por lo tanto, no se ven afectados por esta SCP.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "ram:AcceptResourceShareInvitation",
"Resource": "*"
}
]
}Ejemplo 3: Permitir que determinadas cuentas compartan tipos de recursos específicos
El siguiente SCP solo permite cuentas 111111111111 y 222222222222 crear nuevos recursos compartidos que compartan listas de EC2 prefijos de Amazon o asociar listas de prefijos a recursos compartidos existentes.
AWS RAM autoriza APIs por separado cada recurso principal y cada uno de los recursos incluidos en la convocatoria.
El operador StringEqualsIfExists permite una solicitud si la solicitud no incluye un parámetro de tipo de recurso o, si lo incluye, su valor coincide exactamente con el tipo de recurso especificado. Si incluyes un principal, debes tenerlo...IfExists.
Para obtener más información sobre cuándo y por qué usar ...IfExists operadores, consulte... IfExists condicione los operadores en la Guía del usuario de IAM.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:AssociateResourceShare",
"ram:CreateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": [
"111111111111",
"222222222222"
]
},
"StringEqualsIfExists": {
"ram:RequestedResourceType": "ec2:PrefixList"
}
}
}
]
}Ejemplo 4: Impedir que se comparta con toda la organización o con unidades organizativas
La siguiente SCP impide que los usuarios creen recursos compartidos que compartan recursos con toda una organización o con cualquier unidad organizativa. Los usuarios pueden compartir con personas Cuentas de AWS de la organización o con roles o usuarios de IAM.
AWS RAM autoriza APIs por separado para cada principal y recurso enumerados en la llamada.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:AssociateResourceShare"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ram:Principal": [
"arn:aws:organizations::*:organization/*",
"arn:aws:organizations::*:ou/*"
]
}
}
}
]
}Ejemplo 5: Permitir compartir solo con determinadas entidades principales
La siguiente SCP de ejemplo permite a los usuarios compartir recursos solo una organización o-12345abcdef,, una unidad organizativa ou-98765fedcba, y una Cuenta de AWS
111111111111.
Si utilizas un "Effect": "Deny" elemento con un operador de condición negado, por ejemploStringNotEqualsIfExists, la solicitud sigue siendo denegada aunque la clave de condición no esté presente. Utilice un operador de condición Null para comprobar si una clave de condición está ausente en el momento de la autorización.
AWS RAM autoriza APIs por separado para cada principal y recurso enumerados en la llamada.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:AssociateResourceShare",
"ram:CreateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"ram:Principal": [
"arn:aws:organizations::123456789012:organization/o-12345abcdef",
"arn:aws:organizations::123456789012:ou/o-12345abcdef/ou-98765fedcba",
"111111111111"
]
},
"Null": {
"ram:Principal": "false"
}
}
}
]
}